htmlspecialchars(mysql_escape_string(trim($_GET["id"]))) şeklinde yaparsanız hem xss hem sql'e karşı koruma sağlarsınız.